Книга Active directory
.pdf
Занятие 1 |
Установка DNS 4"| 462 |
Если вы не назначили статический IP-адрес, мастер установки AD DS отобразит предупреждение об использовании динамического IP-адреса.
18.Щелкните опцию Да, компьютер будет использовать динамически назначаемый IP-адрес (не рекомендуется) (Yes, The Computer Will Use A Dynamically Assigned IP Address (Not Recommended)).
19.На странице Расположение для базы данных, файлов журнала и SYSVOL (Location For Database, Log Files And SYSVOL) примите параметры по умолчанию и щелкните кнопку Далее (Next).
20.На странице Пароль администратора для восстановления служб каталогов (Directory Services Restore Mode Administrator Password) введите строгий пароль, подтвердите его и щелкните кнопку Далее (Next).
21.Просмотрите выбранные параметры на странице Сводка (Summary) и щелкните кнопку Далее (Next).
Отметим, что в данном случае мастер создает делегирование DNS для этого домена (рис. 9-13). Причина состоит в том, что родительский домен уполномочен для зоны treyresearch.net и поэтому может создать корректное делегирование для дочернего домена.
A&foWOption,
AeadonV*±ojdcmaaiVncewolerНо.
DNSServeiYe,
OeateDtJSDeletionYe,-
SeucedMweconutie.Metis:domemeottftolef
DSAaielcJJetC\WWo«VNTDS togHeloWet:С WrdowiWIDS ?™LfddatС \Wrdow,W>SVOL
TochsyeanWonok*BackTo.be^iIheссДОюпck*. KM
Tt«euylr^icanbaeqmtedtoanпмHetoun otttoturailet*iml«»iatwn
Motea«ut '
Рис. 9-13. Результаты установки доменных служб Active Directory
22.Установите флажок Перезагрузка по завершении (Reboot On Completion) и подождите, пока будет выполняться операция.
23.После перезагрузки компьютера войдите на него с помощью новых учетных данных (TreyResearch\AflMHHiicTpaTop) и в окне Диспетчер сервера (Server Manager) перейдите на узел DNS-сервер (DNS Server).
24.Просмотрите изменения, внесенные в зоны прямого просмотра при установке AD DS. В данных DNS только одна секция влияет на этот отдельный домен, как показано на рис. 9-14. Если вернуться к машине SERVER10, вы увидите, что в зоне прямого просмотра treyresearch.net для этого дочернего домена создано новое делегирование DNS (серый значок вместо желтого).
Занятие 2 |
Настройка и использование DNS 45-1 |
Вы должны описать начальную структуру леса. Этот лес содержит корневой домен, глобальный дочерний производственный домен и доменное дерево. Лес именуется с расширением .net, а доменное дерево использует расширение .ms в производственном лесу. Вы успешно создаете корневой домен леса и дочерний домен, однако, приступив к доменному дереву, обнаруживаете, что не можете локализовать его параметр. В чем причина?
A.Вы не можете создать доменное дерево с помощью мастера установки доменных служб Active Directory. Для этого нужно использовать инструмент командной строки Dcpromo.exe.
Б.Вы не использовали соответствующие учетные данные при входе в систему.
B. Необходимо вернуться иа страницу приветствия мастера и выбрать расширенный режим его работы.
Г.Используемый сервер не является членом корневого домена леса.
2.Вы являетесь администратором в компании Contoso, Ltd. Ваша органи-
зация приняла решение переходить на платформу Windows Server 2008 и вам поручено создать новую реализацию серверов вместо обновления существующей инфраструктуры. После создания новой инфраструктуры вы переместите все данные (учетные записи, параметры служб каталогов и т. д.) в новый лес, который реализуете с помощью Windows Server 2008. Вы должны описать начальную структуру леса. Этот лес содержит корневой домен, глобальный дочерний производственный домен и доменное дерево. Лес именуется с расширением .net, а доменное дерево использует расширение .ms в производственном лесу. Вы успешно создаете корневой домен леса и дочерний домен, однако, приступив к доменному дереву, обнаруживаете, что не можете создать делегирование независимо от используемых параметров и учетных данных. В чем причина? (Укажите все варианты)
A.Для создания делегирования необходимо использовать расширенный режим работы мастера.
Б. Перед созданием доменного дерева нужно создать делегирование вручную.
B.Вы должны дать указание мастеру создать делегирование во время создания доменного дерева и обеспечить соответствующие учетные данные.
Г. Вы должны дать указание мастеру пропустить создание делегирования во время создания доменного дерева.
Д. Вы должны создать делегирование вручную после создания доменного дерева.
Занятие 2. Настройка и использование DNS
При установке роли DNS-сервера вам не потребуется вместе с AD DS конфигурировать много параметров. Зоны прямого просмотра FLZ создаются автоматически, репликация конфигурируется автоматически с помощью системы репликации AD DS с множеством равноправных участников (Multimaster), и вам даже не нужно добавлять записи, поскольку все компьютерные системы
f 4 4 2 |
Интеграция DNS с AD DS |
Глава 9 |
не ниже Windows 2000 могут регистрировать и обновлять свои записи с помощью динамических обновлений DNS в AD DS.
Однако некоторые операции автоматически не выполняются. Например, конфигурация DNS-сервера по умолчанию не включает зоны обратного просмотра RLZ. Их нужно вручную добавлять для поддержки обратного просмотра. Кроме того, для DNS-сервера требуется завершение конфигурации. В частности, его нужно настроить для поддержки очистки записей и автоматического удаления устаревших записей.
Неплохо также ознакомиться с полным содержимым DNS и обеспечить соответствие всех данных и значений реальным требованиям.
Изучив материал этого занятия, вы сможете:
S Завершить конфигурацию DNS-серверов.
S Администрировать DNS-серверы и репликацию DNS.
Продолжительность занятия — около 40 мин.
Настройка DNS
Впроцессе настройки DNS выполняются следующие действия:
•анализ безопасности DNS-серверов с целью снижения фронта атак;
•настройка параметров очистки сервера;
•завершение настройки зон прямого просмотра FLZ;
•создание зон обратного просмотра RLZ;
•добавление настраиваемой записи в зоны FLZ для конкретных служб и ресурсов.
Кроме того, нужно обеспечить корректную репликацию данных DNS.
Анализ безопасности роли DNS - сервера
DNS-серверы в Интернете представляют большой интерес для злонамеренных пользователей. Чаще всего на эти серверы осуществляются атаки, провоцирующие отказ в обслуживании DoS (Denial-of-Service), когда служба DNS переполняется огромным количеством запросов, в результате чего не может отвечать на подлинные запросы. Еще один распространенный тип атаки заключается в том, что злоумышленник пытается получить все данные DNSсервера, чтобы использовать их для идентификации объектов в сети. Эта атака называется получением сетевых следов (footprinting the network). В еще двух типах атак осуществляются попытки м о д и ф и к а ц и и данных DNS-сервера и перенаправления пользовательских запросов с подлинного DNS-сервера на еще один DNS-сервер, который контролируется злоумышленниками. Обычно такие атаки предпринимаются путем модификации данных DNS в кэше DNS. Помните, что для повышения скорости ответов на запросы DNS использует кэширование в памяти. В случае модификации этих данных пользователи могут получать недействительные ответы на свои запросы.
Занятие 2 |
Настройка и использование DNS 45-1 |
В связи с этим важно применять меры безопасности к установке DNS. При использовании неразделенного типа конфигурации DNS и интеграции DNS с AD DS во внутренней сети внутренние DNS-серверы менее уязвимы к атакам, поскольку не используют именное пространство совместно с внешним миром и поэтому защищены от внешнего доступа брандмауэрами, которые не разрешают внешним пользователям получать доступ к внутренним DNS-серверам. Это не означает, что внутренние серверы не нуждаются в защите. Всегда существует угроза того, что несанкционированный пользователь может подключиться к сети через проводное или беспроводное подключение. Поэтому рекомендуется тщательно проверять незнакомцев, прежде чем разрешить им доступ в сеть.
Рассмотрим безопасность внутренних и внешних DNS-серверов. Когда серверы размещены во внешней сети или в периметре сети, для них нужно обеспечить высокий уровень безопасности. Один из неплохих методов защиты состоит в использовании во внешней сети лишь дополнительного или подчиненного сервера. Затем можно отконфигурировать обновления зон только от известных источников, включенных в DNS.
Во внутренних сетях свяжите роль DNS-сервера с ролыо контроллера домена и отконфигурируйте только поддержку безопасных динамических обновлений, чтобы избежать получения и передачи ошибочных данных. Регулярно проверяйте данные DNS и отслеживайте журналы событий DNS для быстрой идентификации потенциальных неполадок.
СОВЕТ К ЭКЗАМЕНУ
Сертификационный экзамен 70-640 посвящен использованию DNS вместе с AD DS. По этой причине в темы экзамена не включены внешние и независимые DNSсерверы. Если вам нужно отконфигурировать внешний DNS-сервер, информацию о безопасности DNS можно найти по адресу http://technet2.microsoft.com/windowsserver/ en/library/fea46d0d-2de7-4da0-9c6f-2bb0ae9ca7e91033.mspx?mfr=true.
Параметры DNS - сервера
Записи имен хранятся в DNS определенный период времени. Каждой записи имени назначается время жизни TTL (Time То Live). По его окончании запись должна быть удалена, чтобы не генерировать ошибочные результаты для пользователей. В Windows Server 2008 сервер DNS может выполнять эту задачу автоматически, путем очистки сервера или зон. Очистка, применяемая к серверу, выполняется во всех активных зонах на сервере. В случае ее применения к отдельной зоне выполняется лишь очистка записей зоны.
Настройка очистки для всех зои Для того чтобы отконфигурировать очистку для всего сервера, этот параметр необходимо назначить в меню действий сервера.
1.В узле DNS-сервер (DNS Server) Диспетчера сервера (Server Manager) щелкните правой кнопкой мыши имя сервера и примените команду Установить свойства очистки для всех зон (Set Aging/Scavenging For All Zones).
2.Установите флажок Удалять устаревшие записи ресурсов (Scavenge Stale Resource Records).
f 444 |
Интеграция DNS с AD DS |
Глава 9 |
Интервал блокирования (No-Refresh Interval) указывает время между моментами последнего обновления штампа времени записи и повторным обновлением штампа времени. Интервал обновления (Refresh Interval) указывает промежуток между самым ранним обновлением штампа времени записи и самым ранним временем начала очистки записи. Для большинства сетей значение 7 дней по умолчанию вполне приемлемо.
3.Примите значения по умолчанию и щелкните ОК.
4.Поскольку вы задаете значения для существующих зон, DNS также позволяет задавать их для любой создаваемой зоны, включая интегрированные зоны Active Directory. Установите флажок Применить эти параметры к существующим зонам, интегрированным в Active Directory (Apply These Settings To The Existing Active Directory-Integrated Zones) и щелкните ОК. Ваши зоны DNS отконфигурированы для удаления устаревших записей.
Примените эти параметры к каждому DNS-серверу в сети. Задайте эти параметры как конфигурацию по умолчанию для DNS-серверов. При необходимости в модификации параметра отдельной зоны нужно использовать диалоговое окно Свойства (Properties) этой зоны. Чтобы выполнить очистку зоны, на вкладке Общие (General) диалогового окна свойств зоны щелкните кнопку Очистка (Scavenging).
В контекстном меню сервера также можно вручную инициировать очистку, выполнив команду Удалить устаревшие записи (Scavenge Stale Resource Records). Эту операцию можно применять и при обнаружении того, что серверы пересылают устаревшие данные.
В случае обнаружения устаревших записей также можно использовать команду контекстного меню Очистить кэш (Clear Cache). Поскольку для повышения производительности DNS-сервер интенсивно использует кэш в памяти, вы можете удалить устаревшие записи из базы данных, но они все равно останутся в кэше, генерируя ошибочные результаты.
Завершение настройки зон прямого просмотра ( F L Z ) В диалоговом окне Свойства (Properties) зоны прямого просмотра для каждой зоны можно задать несколько параметров. Проанализируйте их и отконфигурируйте следующие параметры для каждой производственной зоны DNS в соответствии с рекомендациями.
• На вкладке Общие (General) убедитесь, что каждая внутренняя зона DNS интегрирована в Active Directory, использует корректную область репликации и поддерживает только безопасные динамические обновления.
•Зоны DNS домена должны реплицироваться на все DNS-серверы в домене. Эту зону включает каждый контроллер домена с ролью DNS.
•Зоны DNS леса должны реплицироваться на все DNS-серверы в лесу,
оЕсли в сети поддерживаются контроллеры домена Windows 2000 Server, нужно использовать параметр Для всех контроллеров домена в этом домене (для совместимости с Windows 2000) (То All Domain Controllers In This Domain (For Windows 2000 Compatibility)), поскольку в Windows 2000 Server разделы каталогов приложений не поддерживаются.
Занятие 2 |
Настройка и использование DNS 45-1 |
Выберите, к з к т сбраэсм следует сеглмикровать информацию зоны. С Для eceicDt-S-cepeepoee атом лесу: tieyTesearcii.nei
(• Для ecexDNS-cepeepoeesrTon домене: treyfesetrth.net
СДля веек ломгроллеров д смена s угон доиене (для совместимости с Windows 2DCO): deyreseatch.net
•Репликацию также можно задать для настраиваемых разделов каталогов приложений, однако вначале нужно создать каталог.
•На вкладке Серверы имен (Name Servers) убедитесь, что каждая зона DNS включает хотя бы два сервера имен. Аналогично созданию двух контроллеров, для каждого домена рекомендуется создать по два DNS-сервера для каждой зоны.
•На вкладке WINS назначьте просмотр WINS только в том случае, если вы не можете использовать зоны GNZ (GlobalNames Zone) и вам необходимо развернуть WINS. Процесс управления именами из одной метки описан далее.
•На вкладке Передачи зон (Zone Transfers) укажите серверы имен, которым разрешено передавать данные зон для запросов. Если эта зона интегрирована с Active Directory, передачи зон не требуются. В основном эта вкладка используется для традиционных DNS-серверов.
•На вкладке Безопасность (Security) просмотрите параметры безопасности по умолчанию. Эти параметры имеют соответствующую конфигурацию для большинства сетей, однако при настройке очень высокого уровня безопасности их следует пересмотреть и модифицировать.
•Последней здесь является вкладка Начальная запись зоны (SOA). Записи SOA идентифицируют зону и связанную с ней информацию, такую, например, как владелец, оператор, графики обновления и т. д. Указанные записи содержат следующие сведения.
оСерийный номер (Serial Number), назначаемый при создании зоны.
Вслучае необходимости этот номер можно увеличить,
оОсновной сервер (Primary Server), который является мастер-сервером для этой зоны. Обычно это сервер, где изначально создавалась зона.
•Ответственное лицо (Responsible Person), указывающее имя оператора этого сервера. Обычно для него используется стандартный термин, например Hostmaster или Operations. По умолчанию в Windows Server 2008 назначается имя hostmaster.uMM_dns_3oHbi с FQDN-именем зоны. Записи Ответственное лицо (Responsible Person) основаны на записях RP (Responsible Person), которые не создаются по умолчанию.
f 446 |
Интеграция DNS с AD DS |
Глава 9 |
Создайте соответствующую запись RP для каждой зоны или хотя бы для каждого мастер-сервера DNS и назначьте ей это значение.
•Начальная запись SOA, где перечислены различные интервалы и параметры времени, включая параметры Интервал обновления (Refresh Interval), Интервал повтора (Retry Interval), Срок истекает после (Expires After) и Минимальный срок жизни T T L (по умолчанию) (Minimum (Default) TTL). Для большинства типов записи можно использовать значения по умолчанию.
•Последним значением начальной записи SOA является Срок жизни (TTL) записи (TTL For This Record). Отметим, что ему присваивается то же значение, что и параметру Минимальный срок жизни TTL (по умолчанию) (Minimum (Default) TTL), названному раньше в этом диалоговом окне.
ии и и и •
Сврверхим-аи | |
W1HS 1 |
Пеоеагчи зо |
1 с е к о о о о с т * 1 |
|||||||
|
Обшив |
|
Начагъмаи загwo . so*., {SOAJ |
|
||||||
|
номер. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
F |
|
|
|
|
|
|
У&елметъ |
J |
||
|
|
|
|
|
|
|
|
|
||
Ооюеиой сервер |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
||
JwrterOl corto» com |
|
|
|
|
|
|
Оваср |
| |
||
Ответствен»*» ivu> (RP - Reipans&le Penon'/. |
|
|
|
|||||||
jhoflmeslef cortoso.corv |
|
|
|
|
| |
Обзд. |
| |
|||
Интервал обновления |
| §р |
|
|
|
||||||
|
|
|
|
|
|
|||||
Иитеовал повтора |
|
S M V |
|
|
zi |
|||||
Срок истекает после |
|
|
|
|||||||
|
|
|
Г " |
i- |
|
zJ |
||||
|
|
|
|
|
|
|||||
Мин с р о к э о а ^ и Т П у ю |
|
Wl. |
|
|
|
|||||
умотна^ес) |
|
|
|
|
|
|||||
Срок жизни (ТТЦ |
h |
1 |
о |
а |
у ш д а ч ч . м м сх> |
|||||
•VMCti: |
Г |
|||||||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
||||
|
ОК |
|
Отмена |
j |
j |
Сгравха |
||||
(Сконфигурируйте перечисленные параметры для каждой зоны, которой управляете на DNS-серверах.
Создание записи ответственного лица Как мы уже говорили, каждой зоне нужно назначить Ответственное лицо (Responsible Person, RP). Это означает, что в конфигурации DNS должна присутствовать хотя бы одна запись RP. Для создания записи используйте контекстное меню зоны, которая будет управлять этой записью. Помните, что для создания записи потребуются различные элементы, описанные далее.
• |
Общее имя группы Будет отображаться в записи. |
• |
Почтовый ящик группы в каталоге Для своевременной доставки сообще- |
|
ний по этому адресу лучше всего использовать почтовый ящик. |
• |
Текстовое примечание для записи ответственного лица Может содержать |
|
информацию об организации в ее политиках управления DNS. |
Для создания записи RP используйте следующую процедуру. Начните с записи Текст (Text).
1.Щелкните правой кнопкой мыши имя зоны и примените команду Другие новые записи (Other New Records).
2.В списке Выбор типа записи ресурса (Select A Resource Record Туре) найдите запись Текст (Text) (TXT) и щелкните кнопку Создать запись (Create Record).
3.В диалоговом окне Новая запись ресурса (New Resource Record) введите имя записи, например Disclaimer, и перейдите к полю Текст (Text).
4.Введите свое сообщение. Щелкните О К, чтобы создать запись. После этого вы вернетесь к диалоговому окну Тип записи ресурса (Resource Record Type).
Это окно должно содержать информацию о вас и вашем управлении DNS. Текст сначала набирается в текстовом редакторе, а затем вставляется в это диалоговое окно.
5.В списке Выбор типа записи ресурса (Select A Resource Record Туре) найдите тип записи Ответственное лицо (PR) (Responsible Person (PR)) и щелкните команду Создать запись (Create Record).
6.В диалоговом окне Новая запись ресурса (New Resource Record) введите имя записи в текстовое поле Узел или домен (Host Or Domain), например Operations, и щелкните кнопку Обзор (Browse), чтобы локализовать почтовый ящик ответственного лица. Вы также можете ввести адрес.
7.Щелкните кнопку Обзор (Browse), чтобы локализовать новую созданную текстовую запись (необязательное примечание). Найдите зону, с которой работаете, локализуйте и выберите в ней запись. Щелкните ОК.
8.Щелкните ОК, чтобы создать запись. Щелкните кнопку Готово (Done), чтобы закрыть диалоговое окно Типы записи ресурса (Resource Record Type).
9.Вернитесь к диалоговому окну Свойства (Properties) или дважды щелкните запись Начальная запись зоны (Start Of Authority), чтобы назначить запись PR для начальной записи зоны SOA.
Выполните эти операции для каждой зоны, которой управляете. Всегда лучше полностью отконфигурировать зону, чем заниматься этим во время устранения неполадок, когда в зоне не откоифигурированы параметры.
Создание зон обратного просмотра
: Небольшим сетям, скажем до 500 компьютеров, могут и не требоваться зоны обратного просмотра RLZ (Reverse Lookup Zone). Эти зоны необходимы для разрешения IP-адреса в имя, а не имени в IP-адрес. Такие зоны чаще всего используются приложениями. Например, защищенное веб-приложение применяет обратный просмотр, чтобы подтвердить подлинность подключившегося компьютера. Если в вашей сети нет таких приложений, зоны обратного просмотра вам не понадобятся.
Однако клиенты, которые могут динамически обновлять свои записи DNS, также создают запись указателя PTR, который сопоставляет IP-адрес с именем